Auf ein neues

Habe das Problem das ich eine Viruswarnung von Antivir bekomme in der die Datei dhsc.dll als BDS/Agent.ZYI Backdoor erkannt wird. Sobald ich die Datei Lösche komm ich nicht mehr ins Internet, genauso wenn die Datei in Quarantäne verschoben wird.

Hier das Logfile, vielleicht kann mir wer bei der Auswertung helfen.

(Hoffe jetzt passts mit der Regeleinhaltung)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:56:38, on 11.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal


O10 - Unknown file in Winsock LSP: c:\windows\system32\dhsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dhsc.dll


EDIT: Problem mit LSPFix gelöst, habe die Datei aus dem Winsock entfernt und es läuft wieder sauber.

Hallo und

Gerade weil das Teil als Backdoor eingestuft wurde, sollte man hier noch genauer analysieren. Hast Du die Datei noch? Wenn ja => Auswerten lassen bei Virustotal.com und Ergebnisse hier posten.

Desweiteren wäre ein KOMPLETTES HJT-Logfile von Vorteil

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Danke für die ausführliche Antwort,

werde das heute abend mal machen und dann hier posten.

Also bis heute abend

So na dann mal los, hatte übrigens gerade wieder die Warnung von Antivir

Als erstes die Auswertung von Virus Total:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.11.13.0	2008.11.12	Win-Trojan/Agent.86016.HV
AntiVir	7.9.0.31	2008.11.12	BDS/Agent.ZYI
Authentium	5.1.0.4	2008.11.12	-
Avast	4.8.1248.0	2008.11.12	-
AVG	8.0.0.199	2008.11.12	-
BitDefender	7.2	2008.11.12	Backdoor.Agent.ZYI
CAT-QuickHeal	9.50	2008.11.12	-
ClamAV	0.94.1	2008.11.12	-
DrWeb	4.44.0.09170	2008.11.12	-
eSafe	7.0.17.0	2008.11.12	-
eTrust-Vet	31.6.6204	2008.11.11	-
Ewido	4.0	2008.11.12	-
F-Prot	4.4.4.56	2008.11.11	-
F-Secure	8.0.14332.0	2008.11.12	-
Fortinet	3.117.0.0	2008.11.12	-
GData	19	2008.11.12	Backdoor.Agent.ZYI
Ikarus	T3.1.1.45.0	2008.11.12	Trojan-Dropper.Agent
K7AntiVirus	7.10.523	2008.11.12	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2008.11.12	-
McAfee	5431	2008.11.12	-
Microsoft	1.4104	2008.11.12	-
NOD32	3607	2008.11.12	-
Norman	5.80.02	2008.11.12	-
Panda	9.0.0.4	2008.11.12	Bck/Agent.KFJ
PCTools	4.4.2.0	2008.11.12	-
Prevx1	V2	2008.11.12	Malware Downloader
Rising	21.03.22.00	2008.11.12	-
SecureWeb-Gateway	6.7.6	2008.11.12	-
Sophos	4.35.0	2008.11.12	-
Sunbelt	3.1.1785.2	2008.11.11	-
Symantec	10	2008.11.12	Trojan.Ascesso
TheHacker	6.3.1.1.149	2008.11.12	-
TrendMicro	8.700.0.1004	2008.11.12	-
VBA32	3.12.8.9	2008.11.11	-
ViRobot	2008.11.12.1463	2008.11.12	-
VirusBuster	4.5.11.0	2008.11.12	-

weitere Informationen
File size: 86016 bytes
MD5...: d67cdff1743f5aef74d8a6705233ee45
SHA1..: 80e6c0464f890c5abee7b7853949ed8831d7ef4e
SHA256: 6fe118823534ec7da87e5dc70f968052fde7b259eb18d683cacac7ff462c5119
SHA512: 873d9254f90d5fb97a6e084fb5b85b98923b25dbf15f49f0990a7a9de6f4e9c6
d354a4d6792da77cff7788c635e18218f4611110e48d70b72bcb0671c13f0fd1
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1fb08ebb
timedatestamp.....: 0x48d6464b (Sun Sep 21 13:04:11 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd624 0xe000 6.57 00b1b0fee110268a17b894aa28fe4a93
.rdata 0xf000 0x2827 0x3000 4.40 c468528835062b6ef9217711bf37a8e5
.data 0x12000 0x1620 0x1000 2.21 7d6f9225ab4f00b54b9085c730f3acc0
.reloc 0x14000 0x14ea 0x2000 3.31 abe7199f02a530f27cb370bf936f6a1a

( 4 imports )
> KERNEL32.dll: InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, CloseHandle, WriteFile, CreateFileA, DeleteFileA, CreateDirectoryA, Sleep, GetTickCount, GetEnvironmentVariableA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, MultiByteToWideChar, WideCharToMultiByte, GlobalAlloc, GlobalFree, FreeLibrary, GetProcAddress, LoadLibraryA, lstrlenW, lstrlenA, HeapAlloc, GetProcessHeap, HeapDestroy, HeapFree, TerminateThread, GetCurrentThread, SetUnhandledExceptionFilter, GetModuleFileNameA, LoadLibraryW, ExpandEnvironmentStringsW, HeapCreate, GetSystemTimeAsFileTime, GetCurrentProcessId, QueryPerformanceCounter, RtlUnwind, RaiseException, GetCurrentThreadId, GetCommandLineA, VirtualFree, VirtualAlloc, HeapReAlloc, IsBadWritePtr, TlsAlloc, SetLastError, GetLastError, TlsFree, TlsSetValue, TlsGetValue, GetModuleHandleA, ExitProcess, TerminateProcess, GetCurrentProcess, HeapSize, LCMapStringA, LCMapStringW, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, UnhandledExceptionFilter, VirtualQuery, IsBadReadPtr, IsBadCodePtr, GetOEMCP, GetCPInfo, VirtualProtect, GetSystemInfo, GetStringTypeA, GetStringTypeW
> USER32.dll: wsprintfA
> WS2_32.dll: WSCInstallProvider, WSCEnumProtocols, -, -, WSCGetProviderPath
> RPCRT4.dll: UuidCreate

( 4 exports )
DllMain, DllRegisterServer, DllUnregisterServer, WSPStartup
         

Als nächstes die HijackThis Auswertung:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:28:17, on 12.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
XXX:\WINDOWS\System32\smss.exe
XXX:\WINDOWS\system32\winlogon.exe
XXX:\WINDOWS\system32\services.exe
XXX:\WINDOWS\system32\lsass.exe
XXX:\WINDOWS\system32\svchost.exe
XXX:\WINDOWS\System32\svchost.exe
XXX:\XXX\Sygate\SPF\smc.exe
XXX:\WINDOWS\Explorer.EXE
XXX:\XXX\Lavasoft\Ad-Aware\aawservice.exe
XXX:\WINDOWS\system32\spoolsv.exe
XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\avguard.exe
XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\sched.exe
XXX:\XXX\XXX\Microsoft Shared\VS7DEBUG\mdm.exe
XXX:\WINDOWS\system32\nvsvc32.exe
XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\avgnt.exe
XXX:\XXX\Java\jre1.6.0_06\bin\jusched.exe
XXX:\WINDOWS\system32\ctfmon.exe
XXX:\XXX\Mozilla Firefox\firefox.exe
XXX:\XXX\Microsoft Office\Office12\OUTLOOK.EXE
XXX:\XXX\XXX\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - XXX:\XXX\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - XXX:\XXX\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - XXX:\XXX\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - XXX:\XXX\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - XXX:\XXX\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Gainward] XXX:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] XXX:\XXX\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "XXX:\XXX\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE XXX:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://XXX:\XXX\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - XXX:\XXX\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - XXX:\XXX\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - XXX:\XXX\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - XXX:\XXX\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - XXX:\XXX\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - XXX:\XXX\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - XXX:\XXX\PartyGaming\PartyPoker\RunApp.exe (file missing)
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{365BACA3-34F7-4733-8DD5-CF46F5EDDFBA}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{365BACA3-34F7-4733-8DD5-CF46F5EDDFBA}: NameServer = 192.168.2.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - XXX:\XXX\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - XXX:\XXX\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - XXX:\XXX\XXX\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - XXX:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - XXX:\XXX\Sygate\SPF\smc.exe

--
End of file - 6128 bytes
         

Hoffe das hilft erstmal weiter.

Gruß Ole

Hm da snd mehrere Scanner, die das Teil als Backdoor einstufen, bin mal gespannt auf die nächsten Logs.

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]